Frage zu Gruppen und Benutzerrechten + weiteres :)

    Hallo,


    so, nachdem ich mein NAS nun ein paar Tage habe und ein wenig rumgespielt habe bin ich im Großen und Ganzen begeistert von dem Teil :)
    Was ich in den paar Stunden, in denen ich mich damit beschäftigt habe kann ich zunächst folgendes sagen:


    Positiv:


    - Sehr gute Verarbeitung!
    - tolles Design
    - viele und nützliche Funktionen
    - übersichtliche Adminfläche


    Negativ:


    - Die eingebauten Platten (Samsung HD204UI) sind doch ziemlich laut. Das stört mich - aber ich werde mich daran gewöhnen
    - Erstinstallation erst mit etwas Aufwand bewerkstelligt (Firmwareupdate ging nicht ; keine Ansicht im Browser etc.)
    - ca. 45 mb lesen und 40 mb schreibe - hier hätte ich mir mehr erwartet bei 2 ghz cpu und 512 mb ram !?



    Mir schwirren schon einige Fragen im Kopf herum, aber momentan habe ich erstmal nur Fragen zu Benutzergruppen und Benutzern.


    1.) Was soll die Gruppe everyone? Ich verstehe den Sinn dahinter nicht !?


    Ich möchte folgendes Szenario realisieren:


    Da ich als User alleine auf das NAS zugreife und gelegentlich Freunde vorbeikommen möchte ich denen ebenfalls Zugriff gewähren.
    Ich möchte natürlich als Besitzer alles machen können (also überall Schreib/Lesezugriff), mich aber nicht in die Gruppe admin eintragen.
    Ich habe einige Freunde, denen ich "mehr" freigeben möchte als anderen Freunden. Die sollen aber alle in die Gruppe "Benutzer" stehen.
    Wie müssen da die Rechte vergeben werden ? In der Gruppe oder jeder einzelne Benutzer?


    Anders formuliert/dargestellt:


    User1 - Bin ich selbst und will Rechte zum Lesen/Schreiben in jedem Ordner (angenommen ich habe 5 Ordner dann will ich in allen 5 Lese/Schreibrechte)
    User2 - sehr guter Freund (Er soll auf die Ordner 1 - 4 Lese/Schreibrechte haben)
    User3 - Freund (Er soll nur auf Ordner 1 - 3 Leserechte haben)


    So, die 3 User sollen ALLE in die eigens erstellte Gruppe "Benutzer" drinstehen. Wie muss ich für dieses Szenario die Rechte vergeben? Das muss ich doch für jeden User einzeln einstellen oder?
    Welchen Sinn hat denn dann sie Berechtigung für die erstelle Gruppe "Benutzer"?


    Das wäre mir erstmal das Wichtigste. Weitere Fragen folgen wenn ich mehr Zeit habe, mich damit zu beschäftigen :)


    Danke euch und viele Grüße!

    du hast ne QNAP 219 II richtig? Also das mit der Lautstärke geht mir genauso wir ham ja genau, in sofern du auch die 2xx hast genau die gleiche Konstellation!


    Mir scheint das aber eher am Gehäuse zu liegen irgendwie! Ich hatte vorher noch kein 2 Bay deswegen wußte ich nicht wie das bei deinen is! das Nas selber, also der Lüfter is echt leise, man hört nur die Platten!


    Ausserdem solltest du mehr ham als nur 40 MB/s! Das kann aber auch am Clientrechner, Kabel, Switch und so weiter liegen!


    ich hab die gleichen platten die wir ham bei nem Kumpel in ner 439 II gehört, bzw. eben NICHT gehört! so leise waren die! Also ich denke echt das liegt am Gehäuse leider!


    Wegen der Gruppe Everyone:


    Also wie soll man das erklären, der Admin is auch jemand! verstehst du?!? also der ist da nicht ausgeschlossen da er auch zugriff hat / braucht, wie auch immer!


    also du solltest wegen deinen Benutzer wie folgt vorgehn:


    du gibst user1 die Rechte Lese und schreibrechte in allen Ordnern!


    dann erstellst du User2 und gibst ihm Schreib und lese Rechte in den ordnern 1- 4! die anderen, machst du entweder auf lesen, oder Verweigerst zugriff!
    Das gleiche machst du dann mit user3!


    Und alle user müssen auf jedenfall in Gruppe Everyone sein! allerdings nicht in der Admin Gruppe!


    wenn die 3 User in einer Eigenen Gruppe sein sollen, macht das nur sinn, wenn sie auch gemeinsame Ordner teilen! an sonsten kannst du die eigene Gruppe, einfach weglassen!


    du kannst damit rumspielen, du darfst nur dich als Admin nicht aus der Admin Gruppe machen, und aus der Everyone Gruppe! Wenn man aus der Everyone Gruppe raus is, hat man nirgends mehr zugriff!


    Ich hoffe ich konnte mich verständlich ausdrücken!


    Gruß Neo


    EDIT: Du hast n 4xx, habs grad in der Kaufberatung nachgelesen, naja kenn ich bisher eigentlich genausowenig, allerdings bei der 439 II wie gesagt, hört man nigs davon! das is richtig geil in dem Teil!

    Hallo Johnny


    Das weicht auch etwas ab von den Berechtigungsstrukturen, wie du sie von Windows her kennst.
    Grundsätzlich ist es aber so, dass es bei beiden Berechtigungen auf Freigabeebene und Berechtigungen auf Dateiebene gibt.


    Legst Du einen Benutzer unter Windows an, ist der automatisch in der Gruppe Users (oder Benutzer). Das ist die definierte primäre Gruppe und regelt sozusagen
    den Mindestzugriff auf die lokalen Daten, die jeder Benutzer inne hat, indem die jeweiligen Berechtigungen auf die diversen Ordner für diese Gruppe einestellt werden.
    Erstellst du nun eine Freigabe auf einen dieser Ordner kommen die Freigabeberechtigungen ins Spiel. Diese stehen standardmässig auf Jeder mit Leseberechtigung.
    Belässt Du die so und greifst auf diese Freigabe zu, dann kann der Benutzer nur lesen, obwohl er auf Dateiebene Schreibzugriff hat, weil die Rechte freigabeseitig für jeden nur Lesezugriff erlauben.
    Also muss die entsprechende Gruppe auch auf Freigabebene entsprechend Schreibzugriff erhalten, damit das funktioniert.
    Allerdings ist das etwas tricky, wenn man Berechtigungen auf beiden Ebenen setzt, daher entscheidet man sich immer für eins von beiden.
    Du kannst in diesem Fall die Freigabe für jeden mit Vollzugriff berechtigen und dann auf Dateiebene die Vererbung für die vorhandenen Gruppen entfernen und nur die Gruppen und Benutzer darauf berechtigen, für die der Ordner bestimmt ist.
    So far for Windows :D


    Beim NAS hingegen zählen erst mal (abgesehen von der etwas differierenden Wirkweise unter Linux) die Berechtigungen auf Freigabeebene. Das macht auch Sinn, da ein Netzwerkspeicher zwangsläufig über die Freigaben angesprochen wird und somit die Berechtigungen der Freigabe für einen normalen User ohne grössere Vorkenntnisse sinnvoll eingerichtet werden können, ohne dass er sich noch mit den Datei-ACL's auseinandersetzen muss, die vom System sinnvoll gesetzt werden.
    Soweit mal konzeptionell.


    Eine Gruppe "Benutzer" macht auf dem NAS weniger Sinn (jetzt mal im Vergleich zum Windows-Pendant). Du kannst die Gruppe lediglich für die Ordner verwenden, auf die alle Mitglieder dieser Gruppe denselben Zugriff bekommen sollen.
    Eleganter kannst Du das lösen, wenn du für jede Freigabe zwei Gruppen erstellst und die beiden Gruppen einmal mit Lese- und die andere mit Schreibberechtigung einhängst.


    Beispiel:
    Freigabe heisst "Test" dann erstellst du die Gruppen
    Test_RW (readwrite, die Gruppe bekommt Schreibrechte)
    Test_RO (readonly, die Gruppe bekommt nur Leserechte)


    Danach nur die einzelnen Benutzer in die jeweiligen Gruppen aufnehmen und die Geschichte bleibt nachvollziehbar durch die eindeutige Benamung.


    Was die Geräuschentwicklung deines NAS betrifft, das kann auch daher rühren, dass der Untergrund mitschwingt.
    Einfach mal hochheben und schauen, ob es dann leiser wird.
    Wenns hilft, mit einer entsprechenden Unterlage von der Standfläche entkoppeln.


    Gruss
    Micha

    Hey,


    Neo


    Zitat

    Wegen der Gruppe Everyone:


    Also wie soll man das erklären, der Admin is auch jemand! verstehst du?!? also der ist da nicht ausgeschlossen da er auch zugriff hat / braucht, wie auch immer!


    Nein, ich verstehe den Sinn hinter der Gruppe immer noch nicht. :(
    Welche Berechtigungen muss ich der Gruppe geben???


    Zitat

    Ausserdem solltest du mehr ham als nur 40 MB/s! Das kann aber auch am Clientrechner, Kabel, Switch und so weiter liegen!


    Verbindung ist Gbit auf jeden Fall. Könnte es daran liegen, dass ich auf meiner Notebook Platte nur 5400 Umdrehungen habe?
    Aber selbst wenn ich auf mein Notebook schreibe und gleichzeitig auf eine externe Festplatte (die am Rechner hängt!) komm ich dennoch nicht über die 40 mb hinaus!? Was ist da los?


    Zitat

    Du hast n 4xx, habs grad in der Kaufberatung nachgelesen, naja kenn ich bisher eigentlich genausowenig, allerdings bei der 439 II wie gesagt, hört man nigs davon! das is richtig geil in dem Teil!


    Ich habe eine TS-419P II. Das NAS an sich ist sehr leise. Nur die Platten nerven mich beim Zugriff extrem. Das Teil steht bei mir aber auch am Schreibtisch.
    Ist denn das 439er anders aufgebaut? Das sieht doch genau gleich aus?



    micha


    Ich nutze kein Windows sondern nur Mac os x ;)


    Zitat

    Eine Gruppe "Benutzer" macht auf dem NAS weniger Sinn (jetzt mal im Vergleich zum Windows-Pendant). Du kannst die Gruppe lediglich für die Ordner verwenden, auf die alle Mitglieder dieser Gruppe denselben Zugriff bekommen sollen.
    Eleganter kannst Du das lösen, wenn du für jede Freigabe zwei Gruppen erstellst und die beiden Gruppen einmal mit Lese- und die andere mit Schreibberechtigung einhängst.


    D.h. wenn ich der Gruppe xy nur Leserechte auf die Freigabe "Filme" mache - dann haben ALLE User, die sich in der Gruppe "xy" befinden NUR Leserechte auf die Freigabe "Filme"? Was ist, wenn ich einem Benutzer, der in dieser Gruppe ist, auch Schreibrechte auf die Freigabe "Filme" erteilt habe? Gilt dann die Berechtigung der Gruppe oder die des einzelnen Benutzers?



    Neo, micha und alle anderen:)


    Also ich möchte folgendes realisieren:


    Meine Freigaben lauten:
    - Filme
    - Musik
    - Sonstiges


    So, mehr Freigaben gibts nicht. (Kann ich eigentlich diese Standarddinger wie Downloads, public etc. löschen?)


    1.) Ich als Besitzer will als Benutzernamen "Daniel" (mein Name halt) und auf all diesen Freigaben Lese und Schreibrechte.
    2.) Ein sehr guter Freund von mir soll als Benutzernamen "Sebbi" bekommen und auf all diesen Freigaben NUR Leserechte.
    3.) Alle anderen sollen den Benutzernamen "Friend" bekommen und NUR auf den Freigaben "Filme" und "Musik" NUR Leserechte haben.


    Jetzt wollte ich halt eine Gruppe machen (User oder Benutzer) und die 3 vorgesehenen Benutzer dort reinlegen. Aber wie müssen dann die Gruppenrechte eingestellt werden? Soll ich die alle weglassen und nur die Rechte der einzelnen Benutzer festlegen und dann einfach die Gruppe verweisen?


    Danke euch allen! ;)

    Ich habe nur die Gruppen "administrators" und "everyone" bei beiden habe ich alle Häckchen entfernt.


    Dann gibt es diverse user, mit entsprechenden Lese/Schreibrechten. Die user sind keiner Gruppe zugeordnet außer everyone (das muss wohl sein).


    Das Gruppenkonzept ist damit quasi deaktiviert. Das ist bei kleineren Installationen wesentlich übersichtlicher - meiner Meinung nach.


    R.

    Also: :mrgreen:


    Die Windowsgeschichte habe ich angeführt um die Funktion der Standardgruppe zu verdeutlichen.
    Bei Windows ist es die Gruppe "Users" (lässt sich aber ändern), und auf dem NAS ist es eben "everyone" (das muss so sein)
    Dafür dass Du kein Windows hast, bin ich nicht verantwortlich :D


    Desweiteren haut das mit der Gruppe "Benutzer" nicht hin, weil Du da alle Benutzer reinpacken möchtest, aber die eingetragenen Benutzer in denselben Verzeichnissen unterschiedliche Berechtigungen bekommen sollen.
    Ergo lässt sich das nicht über eine einzige Gruppe abbilden, wenn du Gruppenberechtigungen verwenden möchtest.
    Natürlich kannst Du einen Benutzer nochmals einzeln auf ein Verzeichnis berechtigen, die Berechtigungen verhalten sich dann additiv.
    Lediglich Verweigerungen haben Vorrang und setzen alle Berechtigungen ausser Kraft.
    EDIT:


    Gruppen und Benutzer gleichzeitig zu berechtigen ist zudem der sicherste Weg, die Übersicht zu verlieren, wer wo welche Berechtigungen hat. ;)
    ENDE:


    Grundsätzlich hat diral recht, dass mit einer handvoll Benutzern die Berechtigungen auf Userebene abgewickelt werden können.


    Ich vertrete nur die Ansicht, dass man sich zuallererst eine Konvention überlegt, wie man die Objekte anlegt, und sich dann strikt daran hält.
    Was einer eindeutigen Konvention folgt, braucht keine Ausnahmen und ist aufgrund der eindeutigen Logik dahinter immer nachvollziehbar.


    Wenn die User mehr werden und man will nur prüfen, wer auf ein bestimmtes Verzeichnis berechtigt ist, dann sehe ich eine Latte Benutzer, die entweder Lese- oder Schreibberechtigung haben. Verwende ich von Anfang an genau definierte Gruppen (z.B. so wie ich es vorgeschlagen habe) die ebenfalls einer genau festgelegten Namenskonvention folgen, dann schau ich in die Gruppe und sehe die User, die genau für diese, der Gruppe zugeteilten, Zugriffsart berechtigt sind.


    Das ist übersichtlicher und bleibt es auch, wenn immer mehr Benutzer und Freigaben hinzu kommen.
    Das ist nur ein Ratschlag, das kann jeder machen, wie es ihm sinnvoll erscheint.
    Ich unterscheide nur nicht kleine und grosse Umgebungen, und ein Credo habe ich in allen Berufen, die ich schon ausgeübt habe, immer beibehalten:


    "Machs gleich richtig und bastel nicht, das erspart Arbeit und Ärger." :thumb:


    Gruss
    Micha

    Hey,


    ok, deine Absicht verstehe ich schon. Also dieses Beispiel hier:


    Beispiel:
    Freigabe heisst "Test" dann erstellst du die Gruppen
    Test_RW (readwrite, die Gruppe bekommt Schreibrechte)
    Test_RO (readonly, die Gruppe bekommt nur Leserechte)


    Da ich aber nur 3 User anlegen werde, ist es vielleicht doch sinnvoll, die einzeln anzulegen und jeweils die Berechtigung zu geben.


    Aber trotzdem nochmal die Frage zum Verständnis:


    Was ist, wenn ich in einer Gruppe die Freigabe "Test" die Berechtigung "Nur Lesezugriff" definiere. In dieser Gruppe ist dann aber ein User, bei dem ich die Freigabe "Test" "Lese und Schreibrechte" gebe. Was gilt dann? Die Berechtigung der Gruppe in der er ist, oder die Berechtigung des Benutzers?

    Es gelten beide.
    Er hat dann Schreibrechte durch die User-Berechtigung. Genau da kommt man irgendwann ins Schleudern, wenn man die tatsächliche Berechtigung herausfinden will.


    Daher die 2 Gruppen. Wenn dieser Benutzer in der Freigabe Test Schreibrechte haben soll, dann fügst Du ihn eben in die RW-Gruppe ein und gut.
    Die anderen kommen in die RO-Gruppe.
    So gehst Du dann bei jeder Freigabe vor und fügst die Benutzer in die jeweilige Gruppe ein.
    Berechtigt wird nur die Gruppe, der User erbt durch die Mitgliedschaft in der Gruppe auch deren Berechtigung.


    Wenn Du es auf Userebene machen willst, dann berechtigst eben die User direkt in der Freigabe, so wie es diral gemeint hat.
    Aber dann brauchst nicht noch irgendwelche Gruppen, die sind in diesem fall obsolet.
    Gruppen sind dazu da, dem kompletten eingetragenen Userkreis eine Berechtigung zu verpassen.


    Eine Alternative wären noch Gruppen nach Rollen, die dann nicht für eine bestimmte Freigabe stehen, sondern für die Gesamtzugriffe.


    z.B.
    Du erstellst eine Gruppe mit Namen "Rolle-User-Common_VZ" (also Vollzugriff, nennen kannst Du die wie du willst, der Name sollte aber imho Programm sein)
    Diese Gruppe berechtigst Du dann in allen zugehörigen Freigaben mit Vollzugriff und fügst den benutzer, der überall schreiben können soll, in diese Gruppe ein.


    Als nächstes bildest dann eine Gruppe für User, die nicht überall Schreibrechte haben sollen.
    Diese Gruppe kommt dann ebenfalls in alle Freigaben rein, bekommt aber nur in bestimmten Freigaben Schreibrechte, in den anderen Leserechte.
    Dann noch eine Gruppe, die überall nur mit Leserechten ausgestattet wird. Eben so viele Gruppen, wie es rechteseitig Kombinationsmöglichkeiten gibt.


    Ein neuer Benutzer muss dann lediglich in eine der Rollen-Gruppen aufgenommen werden und hat damit alle Berechtigungen, die dahinter verknüpft sind.
    Ebenso kannst du einen bestehenden Benutzer anpassen, indem du ihn einfach aus einer Rolle entfernst und in eine andere einfügst.


    Wie gesagt, bei 3 Usern kannst Du das auch direkt auf Userebene abbilden, vom Administrationsaufwand ist das ok. Nur mischen solltest Du das nach Möglichkeit nicht.


    Gruss
    Micha

    Hallo,


    Zitat

    ca. 45 mb lesen und 40 mb schreibe - hier hätte ich mir mehr erwartet bei 2 ghz cpu und 512 mb ram !?


    Viel MEHR wirst du nicht erwarten dürfen. http://benchmarkreviews.com/in…=70&limit=1&limitstart=10 hat den 419P II getestet und die sind auch nicht auf höhere Werte im Raid 5 gekommen (49,3 MB/s)


    Hat mich erschrocken :shock: Ich dachte auch das der ein wenig mehr Leistung drin stecken dürfte.
    Ich kanns leider immer noch nicht testen, da meine Ersatzplatte immer nocht nicht da ist. Sch... Laden :cursing:


    Gruß

    Hi,


    vielen Dank für die Ausführungen :)
    Ich werde nun 3 User anlegen:


    1.) User: "Daniel" --> bin ich selbst mit vollen Lese und Schreibrechte auf allen Freigaben
    2.) User: "Sebbi" --> auf allen Freigaben nur Leserechte
    3.) User: "Gast" --> nur auf einigen Freigaben nur Leserechte


    Eine letzte Frage dazu habe ich:


    Ich nutze den User "admin" nur um im AdminCP Einstellungen vorzunehmen.
    Kopiervorgänge mach ich nur mit meinem Acc "Daniel".


    Was stelle ich in der Gruppe administraors und everyone ein?
    Soll ich in den beiden Gruppen alle Häckchen einfach entfernen?

    Hallo Johnny


    Jeder User ist standardmässig in der Gruppe everyone. Lass sie auch da drin.


    admin ist auf dem NAS der superuser (bei sonstigen *nixen ist es root)
    der gehört in die Gruppe administrators.
    Deinen User kannst du auch da rein nehmen, wenn du ihn in der Gruppe haben willst.
    Diese Gruppe setzt man normalerweise auch in die Freigaben mit Schreibrechten ein.


    Gruss
    Micha

    Hey Micha,


    nein, ich möchte keine anderen User in der Gruppe "admin" haben. Der User "admin" soll nur zur Verwaltung des NAS (Einstellungen vornehmen etc.) dienen. Ich will mit dem User nix kopieren, einfügen, abrufen etc.


    Deswegen die Frage, ob die Gruppenberechtigung (bzw. alle Häckchen) für "admin" und "everyone" entfernt werden können?!